邏輯架構模型:公司部署
本文內容:
關於模型
整體設計目標
伺服器陣列
使用者、區域和驗證
SSP
管理網站
應用程式集區
Web 應用程式
網站集合
內容資料庫
區域和 URL
區域原則
本文描述達成可行設計之邏輯架構元件的實際實作。本文旨在與下列模型搭配使用:設計範例:企業部署邏輯架構 (英文) (https://go.microsoft.com/fwlink/?linkid=82151&clcid=0x404) 。
此模型說明 Microsoft Office SharePoint Server 2007 的一般企業部署。此模型幾乎適用於所有邏輯架構元件,並可說明如何將這些元件併入整體設計中。本文描述模型的設計目標,以及說明如何使用這個模型中說明的邏輯架構元件來達成這些目標。
關於模型
此模型說明虛構企業 Fabrikam,Inc. 的部署,此部署包含兩個伺服器陣列。第一部伺服器陣列架設企業內部網路和合作夥伴網站。第二個伺服器陣列則架設公司網站 (www.fabrikam.com)。
內部網路
企業內部網路包含下列應用程式:
已發佈的內部網路內容 (如 HRweb)
共同作業小組網站
我的網站
這些全都是員工每天都會使用的內容和共同作業網站。而這些應用程式各自都代表特殊的內容類型。每種類型的內容:
強調 Office SharePoint Server 2007 的不同功能。
架設具有不同資料特性的資料。
受限於不同的使用設定檔。
需要不同的權限管理策略。
因此,上述每個應用程式的設計選擇都是要最佳化每個應用程式的效能及安全性。
使用單一共用服務提供者 (SSP),可併用此三個應用程式以提供:
在應用程式之間導覽。
整個企業的搜尋。
共用設定檔資料。
下圖顯示組成企業內部網路的三個應用程式。
合作夥伴網站
合作夥伴網站應用程式會架設可供外部使用的網站,以與合作夥伴公司的員工進行安全的共同作業。這個應用程式的目的是要讓員工輕鬆地建立網站以進行安全的共同作業。引導此應用程式之設計選擇的主要因素包括:
**內容隔離 **不允許合作夥伴存取架設在伺服器陣列上其他類型的內容。此外,使用專用 SSP,可以進一步隔離內容,方法為:
將搜尋範圍限制為僅限網站層級。
不允許跨網站集合的導覽。
不製作跨網站集合都可用的設定檔資料。
**分隔合作夥伴帳戶的驗證 **合作夥伴帳戶透過表單驗證進行管理。合作夥伴帳戶不會新增至企業目錄中。
**權限管理 **個別網站擁有者可自行管理網站的權限,邀請必要的參與者加入共同作業。
在此模型中,合作夥伴網站應用程式與內部網路內容架設在同一個伺服器陣列。
公司網際網路網站
公司網際網路網站是公司的網際網路平台服務。設定具有唯讀權限的匿名存取,客戶就可以使用內容。引導此應用程式之設計選擇的主要因素包括:
內容隔離 客戶無法存取架設在伺服器陣列上任何其他類型的內容。
目標管理 會提供管理網站的員工使用經過驗證的存取權,包括管理及製作工作。
安全的內容製作和發佈 分隔網站集合並架設在伺服器陣列 A 的合作夥伴網站應用程式,提供製作和執行。如此一來,內部和遠端員工即可安全地進行共同作業和內容開發,也包括專門從事網站開發或內容製作的編輯合作夥伴。內容發佈會設定成自動將內容從製作網站集合發佈至執行網站集合 (在伺服器陣列 A 中),再從伺服器陣列 A 中的執行網站集合發佈至伺服器陣列 B 中的實際執行網站集合。下圖顯示發佈程序。
整體設計目標
此模型說明數個常見類型的應用程式內 Office SharePoint Server 2007 功能的實際實作。本文會討論每個別應用程式的設計實作。此模型的主要設計目標包括:
使用最少數目的地伺服器陣列來架設企業一般需要的最常見網站類型:內部網路、外部網路和網際網路網站。
在設計環境時,建立一個可以成長的架構。個別應用程式的設計決策不應防礙新增其他應用程式。例如,初始部署可能只包括共同作業小組網站或只包括構成內部網路的三個應用程式 (小組網站、我的網站和已發佈的內部網路內容)。使用類似的邏輯架構設計,您可以將應用程式新增至解決方案,而不會影響初始應用程式的設計。換言之,此設計不會因併入設計選項而限制了環境的使用。
提供數種類別的使用者存取權,而不會危害不同應用程式內的內容安全性。不同網路區域且不同驗證提供者的使用者 (內部和外部) 可以參與共同作業。而且,使用者只可以存取他們可以存取的內容。依照類似的邏輯架構設計,可讓您對位於多個位置以及具有不同目標的使用者提供存取權。例如,您的初始設計可能是只提供給內部員工存取。不過,使用類似的設計,也可以一併啟用對遠端員工、合作夥伴員工和客戶的存取。
確定設計可用於外部網路環境。謹慎的設計選擇,是為了確保伺服器陣列可以安全地部署於周邊網路。
本文的其他部分則討論模型中出現的每個邏輯元件 (從上到下),並討論套用到模型的設計選擇。此方法的目的是要示範根據應用程式以設定邏輯架構元件的不同方法。
伺服器陣列
此模型使用兩個伺服器陣列。本節描述會影響企業環境中所需伺服器陣列的數目與其授權需求,以及說明於模型內的伺服器陣列拓撲之附註。
授權需求
注意
先前的授權需求指定至少需要兩部伺服器,才能主控內部網路內容和網際網路網站 (每種類型的授權需要一部伺服器),但目前已不再需要如此。本章節已更新,以反映 2008 年 9 月實作的新授需求。
Office SharePoint Server 2007 具有兩個伺服器授權。這些授權可以在同一伺服器電腦或同一伺服器陣列上合併使用:
Microsoft Office SharePoint Server 2007, Server License 這是內部網路內容的適當授權。此授權需要用戶端存取授權 (CAL)。如果您建立網站以進行合作夥伴共同作業,請務必要為合作夥伴員工採購必要的 CAL 數。
Microsoft Office SharePoint Server 2007 for Internet sites 這個授權只適用於網際網路對向的網站。這個授權不需要 CAL。如果您建立網站以進行合作夥伴共同作業,則不需要採購額外的 CAL。不過,您無法建立專供您員工使用的網站。
如果您計劃要從相同的伺服器陣列來為貴組織部署內部內容,及為非員工部署網際網路所使用的內容,則必須為該伺服器陣列購買這二種授權。為因應可能的部署情況,想要將 Office SharePoint Server 2007 需求合併在單一部署之下的客戶,可購買這兩項產品的授權,並將這些授權指派給相同的伺服器,並在這兩種授權之下,同時使用相同的軟體執行個體。但是,客戶必須為 Office SharePoint Server 2007 購得 CAL,否則 Office SharePoint Server 2007 的網際網路網站使用權將不允許使用者與裝置以任何方式存取內容。
如需授權需求對必要伺服器陣列數目所產生之影響的詳細資訊,請參閱<規劃伺服器陣列>。
雖然只需要一個伺服器陣列,但是此模型還是說明使用兩個伺服器陣列:其中一個伺服器陣列用於內部內容,而另一個伺服器陣列則用於客戶使用的內容。若選擇實作兩個不同的伺服器陣列,最重要的設計選擇就是決定用以架設合作夥伴網站應用程式的伺服器陣列。在此模型中,伺服器陣列 A 會架設內部網路內容,而伺服器陣列 B 則架設公司網際網路網站。根據授權條款,任何一個伺服器陣列都可以架設合作夥伴網站。
選擇兩個伺服器陣列之後,決定架設合作夥伴網站應用程式在哪一個伺服器陣列上,其一般設計準則如下:
共同作業的本質 如果合作夥伴外部網路網站的主要目的是與許多合作夥伴安全地傳遞資訊,則網際網路伺服器陣列是最經濟的選擇。另一方面,如果主要目的是與小部分的合作夥伴員工共同作業,則內部網路伺服器陣列可能是較好的選擇。請選擇選項,讓您針對伺服器陣列的預定角色來執行最佳化 (即,共同作業與唯讀內容)。
合作夥伴員工數目 如果您與許多合作夥伴員工共同作業,而降低成本十分重要,則使用網際網路網站授權就可以安全地將共同作業和匿名內容架設在網際網路對向的伺服器陣列上。
在此模型中,合作夥伴網站旨在與合作夥伴公司進行密集的共同作業 (包括公司網際網路網站的開發和執行)。將合作夥伴網站放在伺服器陣列 A 上,可讓組織最佳化這兩個伺服器陣列的預定目的 (共同作業與唯讀內容)。
如需選擇組織的適當伺服器陣列數目之詳細資訊 (包括授權需求的詳細資訊),請參閱<規劃伺服器陣列>。
伺服器陣列拓撲
模型中每個伺服器陣列都由五部具有下列拓撲的伺服器所組成:
兩部前端網頁伺服器
一部應用程式伺服器
兩部資料庫伺服器 (叢集或鏡像)。
這個模型說明 Office SharePoint Server 2007 的邏輯架構,如下所示:
跨前端網頁伺服器鏡像所有網站。
管理中心網站安裝在應用程式伺服器上,讓使用者無法直接存取。
實際上,除了有時會有增加容量和提高效能的需求外,伺服器電腦的數目和伺服器陣列的拓撲對邏輯架構而言並不重要。邏輯架構可以設計成與伺服器陣列拓撲無關。效能和容量規劃程序可協助您調整伺服器陣列的大小,以符合效能和容量目標。如需詳細資訊,請參閱<規劃效能和容量 (Office SharePoint Server)>。
使用者、區域和驗證
此模型說明五種不同類別的使用者,每種類別指派給不同的區域。在每個 Web 應用程式內,最多可建立五個區域並使用其中一種可用的區域名稱 (預設、內部網路、網際網路、自訂或外部網路)。架設多個 Web 應用程式的伺服器陣列,可以支援來自五個以上網路區域的使用者要求 (每個 Web 應用程式最多五個區域)。不過,這個模型只顯示五個區域。
使用者和驗證
此模型顯示來自不同網路區域的使用者,至於管理員則是具有大量不同權限需求的使用者。這個模型示範如何將驗證套用至使用者。下表列出如何驗證在每個區域的使用者。
區域 | 使用者 | 驗證 |
---|---|---|
自訂 |
管理員 |
Kerberos (整合式 Windows) |
內部網路 |
內部員工 |
NTLM (整合式 Windows) |
預設值 |
遠端員工 |
NTLM (整合式 Windows) 或搭配輕量型目錄存取通訊協定 (LDAP) 的表單驗證。 |
外部網路 |
合作夥伴員工 |
表單驗證 |
網際網路 |
客戶 |
匿名 |
在此模型中,並非所有使用者均具有存取兩個伺服器陣列的授權。因此,兩個伺服器陣列都不會使用所有五個區域。
管理員
「自訂」區域可用以保護網站管理的存取安全。這種方式可讓您:
實作一組獨立的 URL 和原則。例如,管理員可以使用與「自訂」區域相關的 URL,根據區域原則來執行管理工作。管理員可以根據針對構成內部網路之應用程式所設定的原則,將內部網路 URL 用於其他所有工作。這種方式可區隔兩個內容,並確保原則權限不會衝突。
針對管理員實作較安全的驗證方法。這樣可提供整體解決方案較大的安全性。
在外部廠商提供網站支援的情況下,對不同的提供者進行驗證。
這個模型假設管理員是 Fabrikam 的員工,而且擁有網路的內部存取權。這個模型針對管理員使用整合式 Windows 驗證 (即 Kerberos 驗證或 NTLM)。
內部員工
「內部網路」區域用於內部員工存取。將會使用整合式 Windows 驗證。
遠端員工
「預設」區域用於遠端員工存取。這個模型的設計目標如下:
向內部 Active Directory 目錄服務環境進行驗證。
將 Windows 驗證用於內部員工和遠端員工,可簡化權限管理。如果使用者透過兩個不同的驗證提供者連線至網站,且 Office SharePoint Server 2007 會為每位使用者建立兩個不同的帳戶,而這兩個帳戶都必須要有權限,則這個目標就十分重要。
這個模型呈現用以驗證遠端員工的兩個不同選項。使用第一個選項 (使用 NTLM 的整合式 Windows 驗證),可達成這兩個設計目標。第二個選項 (表單驗證) 可滿足第一個目標,但無法滿足第二個目標。因此,較偏向選擇第一個選項。
下表摘要說明這兩種方式的差異。
此驗證方法 | 使用 NTLM 的整合式 Windows 驗證 | 使用 LDAP 提供者的表單驗證 |
---|---|---|
運作方式 |
此方法依賴使用 Internet Security and Acceleration (ISA) Server 2006 或 Intelligent Application Gateway (IAG 2007) 驗證使用者,然後再將使用者認證傳送給 Office SharePoint Server 2007。這些伺服器會使用表單驗證向 Active Directory 環境驗證使用者。之後再將 Windows 認證轉送給 Office SharePoint Server 2007。如需詳細資訊,請參閱下列資源:
因為區域是「預設」區域,所以使用 NTLM 驗證來滿足索引元件需求。如需詳細資訊,請參閱本文稍後的<預設區域的設定需求>。 |
Office SharePoint Server 2007 搭配使用 LDAP 提供者的表單驗證,針對內部 Active Directory 環境來驗證遠端員工。 如果選擇這種方法,請確定可以透過替代區域驗證索引元件。如需詳細資訊,請參閱本文稍後的<預設區域的設定需求>。 |
優點 |
Office SharePoint Server 2007 不會為同時從內部及遠端工作的使用者,建立兩個不同的帳戶。如此可大幅簡化權限管理。 |
不需要 Proxy 伺服器來驗證使用者和轉送認證。 |
缺點 |
需要與 ISA Server 2006 或另一個 Proxy 伺服器產品進行額外協調,或對其進行設定。 |
如果使用者同時從內部和外部連線至 Office SharePoint Server 2007,則會在 Office SharePoint Server 2007 中建立兩個不同的帳戶。因此,這兩個帳戶都需要有網站和文件的權限。員工可能會建立兩個 [我的網站]。若員工想要從內部網路和遠端進行工作,便需要管理其網站的權限,以及兩個使用者帳戶的文件。 |
合作夥伴員工
合作夥伴員工會透過「外部網路」區域來存取網路,而且使用表單驗證來進行驗證。這需要不同的目錄和提供者 (如 Microsoft SQL Server 資料庫和提供者) 才能在外部網路中儲存合作夥伴帳戶。這種方式的優點是您可以分開管理合作夥伴帳戶,而不需要將合作夥伴帳戶新增至內部員工目錄。
或者,您也可以使用網頁單一登入 (SSO) 針對合作夥伴自己的目錄進行驗證。不過,這種方式需要每個合作夥伴目錄都有不同的區域。
因為這個模型假設 Fabrikam 與數個不同公司的合作夥伴在相同的合作夥伴應用程式內工作,所以會使用表單驗證。不會指定目錄和提供者。
客戶
「網際網路」區域用於客戶存取。這個區域設定成允許具有唯讀權限的匿名存取。
區域
當您設計區域時,有多個對部署成功與否十分重要的重要決策。這些決策包括下列區域的設計和設定決策:
「預設」區域。
進行外部存取的區域。
下列各節描述併入模型中的決策。
預設區域的設定需求
最需要仔細考量的區域就是「預設」區域。Office SharePoint Server 2007 為「預設」區域的設定列出下列需求:
當使用者要求無法與區域建立關聯時,會套用「預設」區域的驗證和原則。因此,「預設」區域必須是最安全的區域。
索引元件需要透過至少一個區域來存取內容,才能編目內容。索引元件預設會使用 NTLM 驗證。SSP 管理員可以設定編目規則,以在編目特定範圍的 URL 時使用基本驗證或用戶端憑證。因此,若要編目內容,則至少其中有一個區域會設定為使用 NTLM 驗證、基本驗證或憑證。而且,編目程式在發現可以進行驗證的區域之前,都會依下列順序輪詢區域:預設區域、內部網路區域、網際網路區域、自訂區域、外部網路區域。不過,如果編目程式先遇到設定成使用 Kerberos 驗證的區域,則編目程式不會進行驗證,也不會嘗試存取下一個區域。因此,請確定使用 Kerberos 驗證之區域的設定不會防止索引元件編目內容。如需與編目內容相關之驗證需求的詳細資訊,請參閱<規劃驗證方法 (Office SharePoint Server)>。
送出含有「預設」區域的連結的管理電子郵件。這包括送給將達到配額限制之網站擁有者的電子郵件。因此,接收到這些類型之電子郵件和提醒的使用者,必須可以透過「預設」區域存取連結。這對網站擁有者特別重要。
主機名稱的網站集合只能透過「預設」區域使用。預定要存取主機名稱網站集合的所有使用者,都必須透過「預設」區域取得存取權。
基於下列原因,在此模型中,「預設」區域會用於遠端員工存取:
員工不論位在何處,都可以存取管理電子郵件中的連結。
無法判斷與使用者要求相關的區域時,會保護內部伺服器名稱和 URL 而不予公開。因為「預設」區域已設定供遠端員工使用,所以 URL 不會在套用這個區域時公開敏感資料。
設定外部網路環境的區域
基於下列兩個原因,在外部網路環境中,區域的設計十分重要:
可以從多個不同網路啟動使用者要求。在此模型中,使用者從內部網路、網際網路和合作夥伴公司啟動要求。
使用者使用多個 Web 應用程式的內容。在此模型中,內部網路包含三個不同的 Web 應用程式。此外,內部和遠端員工可能會在所有 Web 應用程式 (內部網路、合作夥伴網站和企業網際網路網站) 中提供和管理內容。
在外部網路環境中,請務必遵循下列設計原則:
跨多個 Web 應用程式設定區域彼此鏡像。驗證設定和預定使用者應該相同。但各 Web 應用程式中與區域相關的原則則可互不相同。例如,您必須確定相同的員工在所有 Web 應用程式中皆是使用內部網路區域。換言之,請勿在某 Web 應用程式設定內部網路區域供內部員工使用,而在另一個 Web 應用程式中則又將該區域設定供遠端員工使用。
針對每個區域和每個資源,適當且正確地設定備用存取對應。
在此模型中,針對遠端員工存取,將每個 Web 應用程式的「預設」區域都設定為相同。此外,所有 Web 應用程式的「內部網路」區域也會採取相同的設定供內部員工存取。「外部網路」區域和「網際網路」區域都各自設定為只供一個 Web 應用程式使用。
當您建立區域時會自動建立備用存取對應。不過,Office SharePoint Server 2007 可以設定成編目外部資源 (如檔案共用) 中的內容。您必須使用備用存取對應,為每個區域手動建立這些外部資源連結。例如,可以使用內部 URL,向內部使用者公開檔案共用 (file://)。也可以使用 FTP 連結,向外部使用者公開相同的檔案共用 (ftp://)。如此可確保根據使用者區域的內容,使用者可以使用這些資源。當使用者在搜尋結果中接收到這些資源的連結時,就可以存取連結。
若各 Web 應用程式中的區域未彼此鏡像,且外部資源連結不正確,將會產生下列風險:
可能會在內部網路外,公開伺服器名稱、網域名稱系統 (DNS) 名稱和 IP 位址。
使用者可能無法存取網站和其他資源。
SSP
SSP 會將一組共用服務和服務資料提供給 Web 應用程式和其相關網站的邏輯群組。服務和服務資料包括:
個人化服務
對象
商務資料目錄
Excel Services
Office SharePoint Server 搜尋
入口網站流量報告
決定邏輯架構中是否需要多個 SSP 的最重要準則,是必須隔離內容。例如,如果伺服器陣列架設多種使用者類別的應用程式,則不同的 SSP 有助於建立這些類別的使用者隔離。
這個模型為下列每個應用程式使用不同的 SSP:
內部網路
合作夥伴網站
客戶網際網路網站
內部網路
組成內部網路的三個別應用程式 (已發佈的內部網路內容、我的網站和小組網站),透過一個 SSP 而連結在一起。這個模型中所示之內部網路應用程式的範例,依照業務需求進行平衡式安全隔離,可跨應用程式共用資訊以及利用設定檔資料。
個別應用程式會透過 Web 應用程式和應用程式集區予以隔離。不同的應用程式集區提供處理序隔離。專用 Web 應用程式可讓您針對每種類型的內容實作不同的權限原則。
將此三個應用程式統一成一個 SSP,可以在所有應用程式中進行個人化和整個企業的搜尋。
合作夥伴網站
將不同的 SSP 用於合作夥伴網站應用程式,可確保合作夥伴使用者無法搜尋或存取您內部網路環境內的敏感資訊。使用下列方法,可以將 SSP 設定成進一步隔離網站集合之間的內容:
將搜尋範圍限制為個別網站集合。
使用對象為特定使用者群組提供內容。
使用 Stsadm 命令列工具,設定 [人員選擇] 只顯示為網站集合成員的使用者。在這個設定中,如果您知道使用者名稱,就可以從目錄新增任何使用者;不過,只有已新增至網站集合的使用者才會顯示在 [人員選擇] 中。這樣可以防止合作夥伴使用者透過 [人員選擇] 瀏覽您的使用者目錄。
請使用下列命令開啟此設定:
Stsadm.exe -o setproperty -url https://server -pn "peoplepicker-onlysearchwithinsitecollection" -pv yes
請使用下列命令關閉此設定:
Stsadm.exe -o setproperty -url https://server -pn "peoplepicker-onlysearchwithinsitecollection" -pv no
除了在 SSP 內設定服務以達成隔離之外,請考慮使用下列方法設定權限:
將網站存取限制為特定使用者或群組。
使用 SharePoint 群組授權內容的存取權。
公司網際網路網站
在此模型中,公司網際網路網站可供匿名使用者使用。預定供匿名使用者使用的網站,一律應該與預定供驗證使用者使用的網站加以區隔。這個模型將下列隔離方法用於公司網際網路網站:
不同的應用程式集區可確保處理序隔離。
不同的 Web 應用程式提供達到原則目標的機會
專用 SSP 可確保搜尋結果限於匿名應用程式。
管理網站
在此模型中,每個管理網站都架設在專用應用程式集區和 Web 應用程式內。下列清單描述每個管理網站:
共用服務管理網站 這個模型說明每個 SSP 的專用管理網站。共用服務管理網站無法在單一伺服器或一組伺服器上予以隔離。這些網站會跨所有前端網頁伺服器自動進行鏡像。
管理中心網站 在此模型中,每個伺服器陣列的管理中心網站都架設在應用程式伺服器上。如此可避免使用者直接連接到網站。如果效能瓶頸或安全性危害影響到前端網頁伺服器的可用性,則管理中心網站會保持在可用狀態。
此模型或本文不包含管理網站的負載平衡 URL。建議如下:
如果管理 URL 中使用了連接埠號碼,請使用非標準連接埠。URL 預設會包括連接埠號碼。一般雖不會在客戶對向的 URL 中使用連接埠號碼,但為管理網站使用連接埠號碼,仍可將對這些網站的存取,限制在非標準連接埠,以提高管理網站的安全性。
只允許從管理網域存取管理網站。
為管理網站建立不同的 DNS 項目。
除了這些建議之外,您可選擇在伺服器管理中心網站為跨多部應用程式建立負載平衡,以達成備援目的。
應用程式集區
一般會實作不同的網際網路資訊服務 (IIS) 應用程式集區,以區隔內容之間的程序。應用程式集區提供一種方式,讓多個網站可以在相同的伺服器電腦上執行,且仍然保有各自工作者程序和身分識別。這可降低網站遭受攻擊的機會,讓攻擊者難以在伺服器插入程式碼攻擊其他網站。
實際來說,在下列每種情況下,都請考慮使用專用應用程式集區:
從匿名內容分隔驗證內容。
隔離用以儲存外部商業應用程式 (例如,商務資料目錄連線) 密碼的應用程式,以及與外部商業應用程式互動的應用程式。
隔離使用者擁有極大自由可以建立和管理網站以及對內容進行共同作業的應用程式。
這個模型利用下列方法使用應用程式集區:
每個管理網站都架設在專用應用程式集區中。這是 Office SharePoint Server 2007 的需求。
內部網路內容分成兩個不同的應用程式集區。共同作業內容 (我的網站和小組網站) 架設在其中一個應用程式集區中。而已發佈的內部網路內容是架設在另一個不同的應用程式集區中。這個設定提供最可能被使用商務資料連線 (已發佈的內部網路內容) 的處理序隔離。例如,許多人力資源 (HR) 網站使用商務資料連線,讓員工存取他們的個人資料。
合作夥伴網站應用程式架設在專用應用程式集區中。
公司網際網路網站架設在伺服器陣列 B 的專用應用程式集區中。如果這個伺服器陣列也架設合作夥伴共同作業的內容,則這兩種類型的內容 (網際網路和合作夥伴) 會架設在兩個不同的應用程式集區中。
Web 應用程式
Web 應用程式是 SharePoint 產品及技術所建立與使用的 IIS 網站。每個 Web 應用程式在 IIS 中代表不同網站。請指定每個 Web 應用程式唯一的網域名稱,這樣有助於防止跨網站的指令碼攻擊。
一般而言,使用專用 Web 應用程式可以:
分隔匿名內容與驗證內容:在此模型中,公司網際網路網站架設在專用 Web 應用程式和應用程式集區中。
隔離使用者:在此模型中,合作夥伴網站架設於專用 Web 應用程式和應用程式集區,確保合作夥伴無法存取內部網站內容。
強制權限:專用 Web 應用程式使用管理中心的 [Web 應用程式的原則] 頁面,可讓您透過原則來強制權限。例如,您可以在公司網際網路網站上建立原則,明確拒絕一或多個使用者群組的寫入權限。不論 Web 應用程式內個別網站或文件上設定的權限為何,都會強制 Web 應用程式的原則。
最佳化效能。如果應用程式所在的 Web 應用程式具有與其他應用程式類似的資料特性,則這些應用程式會有較好的效能。例如,「我的網站」的資料特性包括大量規模較小的網站。反之,小組網站一般會包含少量的極大型網站。透過將這兩種不同類型的網站放在不同的 Web 應用程式,產生的資料庫就會包含特性類似的資料,如此可最佳化資料庫效能。在此模型中,「我的網站」和小組網站沒有特有的資料隔離需求;它們會共用相同的應用程式集區。但是,「我的網站」和小組網站會放在不同的 Web 應用程式中,以最佳化效能。
最佳化管理性:因為建立不同 Web 應用程式會產生不同的網站和資料庫,所以您可以實作不同的網站限制 (資源回收筒、逾時和大小),以及交涉不同的服務層級協定。例如,如果「我的網站」內容不是您組織內最重要的內容類型,則可能會允許較多的時間來進行還原。這樣可讓您先還原較重要的內容,再還原「我的網站」內容。在此模組中,「我的網站」放在不同的 Web 應用程式中,而與其他應用程式相較之下,管理員可以更積極地管理成長。
網站集合
網站集合可橋接邏輯架構和資訊架構。在此模型中,網站集合的設計目標是要滿足 URL 設計的需求,以及建立內容的邏輯區分。
為了滿足 URL 設計的需求,每個 Web 應用程式都會包括單一根層級網站集合。管理路徑是用以併入最上層網站集合的第二層。如需 URL 需求以及使用管理路徑的詳細資訊,請參閱本文稍後的<區域和 URL>。在網站集合第二層下面的每個網站都是子網站。
下圖顯示小組網站的網站階層。
符合根層級網站集合的需求之後,設計決策係以第二層的網站集合為主。此模型會根據應用程式的本質來併入選項。
已發佈的內部網路內容
已發佈內部網路內容應用程式的假設是公司內的多個部門將架設已發佈的內容。在此模型中,每個部門的內容都架設在不同的網站集合中。這樣具有下列優點:
每個部門都可以單獨管理和授與內容的權限。
每個部門的內容都可以儲存在專用資料庫中。
而使用多個網站集合的缺點如下:
主版頁面、版面配置、範本、網頁組件和導覽無法跨網站集合共用。
需要花較多的精力,跨網站集合進行協調自訂和導覽。
根據內部網路應用程式的資訊架構和設計,已發佈內容對使用者而言就像完美的應用程式。或者,每個網站集合就像不同的網站。
我的網站
「我的網站」具有特殊特性,而且部署「我的網站」的建議十分簡單。在此模型中,「我的網站」應用程式使用 http://my 這個 URL 來併入最上層網站。建立的第一個最上層網站集合會使用「我的網站主機」範本。使用包含相對路徑來併入管理路徑,這樣可允許使用者無限制地建立網站。管理路徑下的所有網站都繼承「我的網站主機」範本的獨立網站集合。URL 的後面會加上使用者名稱,格式為 http://my personal/username。下圖說明「我的網站」。
如需設計「我的網站」應用程式的詳細資訊,請參閱<設計我的網站架構>。
小組網站
您可以使用下列兩種方式的其中一種,來設計「小組網站」應用程式內的網站集合:
允許小組透過自助網站架設來建立網站集合。這種方式的優點是小組可以視需要輕鬆地建立網站,而不需要管理員的協助。不過,這種方式有許多的缺點,包括:
失去實作一個考慮周密分類法的機會。
應用程式會變得很難管理。
網站很容易就會放棄。
無法跨共用網站集合的專案或小組來共用範本以及進行導覽。
根據組織的作業方式,為組織建立數目有限的網站集合。使用這種方式,會由 SharePoint 管理員建立網站集合。建立網站集合之後,小組就可以根據它們的需求在網站集合內建立網站。這種方式可讓您實作周密的分類法,而分類提供管理小組網站以及小組網站成長的結構。同時也有較多機會在一個共用網站集合的專案和小組之間共用範本以及進行導覽。
此模型使用第二種方式,結果將使小組網站與已發佈內部網路內容具有類似的網站集合階層。為組織建立合理的網站集合之第二層是資訊設計師的挑戰。下表列出不同組織類型的建議。
組織類型 | 建議的網站集合分類法 |
---|---|
產品開發 |
|
研究 |
|
高等教育機構 |
|
國家立法局 |
|
企業法律事務所 |
|
製造業 |
|
合作夥伴網站
合作夥伴網站主要是用於與外部合作夥伴共同作業範圍有限或期間有限的專案。根據設計,合作夥伴網站應用程式內的網站預定不會有相關。合作夥伴網站的需求,包含確定:
專案擁有者可以輕鬆地建立網站,以進行合作夥伴共同作業。
合作夥伴和其他參與者只可以存取他們所處理的專案。
權限由網站擁有者所管理。
某個專案內的搜尋結果不會公開另一個專案的內容。
管理員可以輕鬆地識別不再使用的網站,並刪除這些網站。
為了滿足這些需求,這個模型會為每個專案使用一個網站集合。利用這種方法,會有下列優點:
個別網站集合提供專案之間的適當隔離層級。
可以實作自助網站架設。
因為合作夥伴網站應用程式也會架設網站集合以開發公司網際網路網站的內容,所以建立不同的網站集合以進行製作和執行。
公司網際網路網站
公司網際網路網站使用單一根層級網站集合。所有在這個網站集合下方的網站都是子網站。這個結構簡化網站內網頁的 URL。下圖顯示公司網際網路網站的架構。
內容資料庫
您可以使用下列兩種方式,將內容資料庫併入設計中 (這個模型使用兩種方式):
建立具有適當大小警告臨界值的內容資料庫之目標大小。到達大小警告臨界值時,會建立新的資料庫。使用這種方式,會僅根據大小目標,自動將網站集合新增至可用的一或多個資料庫。
將網站集合關聯至特定內容資料庫。這種方式可讓您將一或多個網站集合放入可以與其他資料庫分開管理的專用資料庫。
如果您選擇將網站集合關聯至特定內容資料庫,則可以使用下列方法來完成:
使用 Stsadm 命令列工具,在特定資料庫中建立網站集合。
套用下列資料庫容量設定,將資料庫專用於單一網站集合:
產生警告事件之前的網站數目 = 1
這個資料庫中可以建立的最大網站數目 = 1
執行下列步驟,將網站集合群組新增至專用資料庫:
在 Web 應用程式內,建立資料庫,並將資料庫狀態設定為 [就緒]****。
將其他所有資料庫的狀態設定為 [離線]。內容資料庫離線時,無法建立新的網站集合。不過,讀取和寫入作業仍然可以存取離線資料庫中的現有網站集合。
建立網站集合。它們會自動新增至資料庫。
將其他所有資料庫的狀態設回 [就緒]****。
已發佈的內部網路內容
針對已發佈的內部網路內容,這個模型會為每個部門網站集合使用專用資料庫。
這種方式可讓每個部門單獨管理它們的內容。
我的網站
針對「我的網站」,這個模型透過管理到達最大目標大小的資料庫,來達成縮放效率。設定下列設定,可達成這個目標:
限制網站儲存量的最大值為:這個設定設定於管理中心的 [配額範本] 頁面中,可限制個人網站的大小。
第二階段資源回收筒:這個設定設定於 [Web 應用程式一般設定] 頁面中,可決定還需要額外配置給第二階段資源回收筒多少空間。
這個資料庫可以建立的網站數目上限:當您建立資料庫時會設定這個設定。請使用指定給前兩個值的數字,來計算允許的網站總大小。然後,根據每個資料庫的大小目標,決定要放入資料庫中的網站數目。
這個模型根據 100 GB 的資料庫目標大小和 500 MB 的「我的網站」目標大小,提供下列大小設定的範例:
每個網站的網站大小限制 = 500 MB
資料庫的目標大小 = 100 GB
網站數目上限 = 200
網站層級警告 = 150
達到網站層級警告時,會建立新的資料庫。建立新的資料庫之後,新增的「我的網站」會交替的新增至新的資料庫與已存在的資料庫,直到其中一個資料庫的網站數目達到上限為止。
如需設計「我的網站」之資料庫設定的詳細資訊,請參閱<設計我的網站架構>。
小組網站
針對小組網站,這個模型會為每個小組網站集合使用專用資料庫。這種方式可讓您單獨管理每個小組的資料庫,以進行備份、還原和移轉。而且,專案完成時,您也可以輕鬆地封存與專案相關的資料庫。
合作夥伴網站
與「我的網站」類似,合作夥伴網站透過管理達到最大目標大小的資料庫,來達成縮放效率。不過,在此模型中,合作夥伴網站也會架設公司網際網路網站的製作和執行網站集合。因此,資料庫設計會使用兩種方式:
製作和執行網站集合各自架設於專用資料庫中。
設定資料庫和大小設定,以管理其他所有網站和資料庫。
因為合作夥伴網站架設於專用 Web 應用程式,所以您可以針對該類型建立較適合於該類型大小的大小限制。這個模型提供下列大小設定的範例:
資料庫的目標大小 = 100 GB
每個網站的儲存配額 = 5 GB
網站數目上限 = 20
架設於專用資料庫的製作和執行網站集合
公司網際網路網站
在公司網際網路網站的設計中使用單一網站集合,可以將單一資料庫用於此 Web 應用程式。
區域和 URL
這個模型說明如何跨企業部署內的多個應用程式協調 URL。
設計目標
下列目標會影響 URL 的設計決策:
URL 慣例不會限制用以存取內容的區域。
在此模型中,可以跨所有應用程式使用標準 HTTP 和 HTTPS 連接埠 (80 和 443)。
URL 不包括連接埠號碼。實際上,連接埠號碼一般不會用於實際執行環境。
設計準則
為了達到這些設計目標,會套用下列設計準則:
不會使用主機名稱的網站集合。請注意,主機名稱的網站集合與 IIS 主機標頭不同。主機名稱的網站集合無法與備用存取對應功能搭配使用。需要有備用存取對應功能,才能透過多個網域 URL 存取相同的內容。因此,使用主機名稱的網站時,只有透過「預設」區域才可以使用這些網站。備用存取對應功能也支援安全通訊端階層 (SSL) 的離線方塊終止 (off-box termination),讓遠端員工存取和合作夥伴存取案例使用 SSL (https)。
每個應用程式都會使用單一根網站集合。這對於使用備用存取對應而言是必要的。如果 Web 應用程式內需要多個根網站集合,而且您只想要使用「預設」區域來進行使用者存取,則主機名稱的網站集合是不錯的選擇。
針對包括多個高層級網站集合的應用程式 (其中,每個網站集合都代表頂層小組或專案 (例如,小組網站)),這個模組會使用管理路徑。管理路徑較能控制這些網站類型的 URL。
設計利弊
符合設計目標會有一些利弊得失,如下所示:
URL 較長。
不會使用主機名稱的網站集合。
設計負載平衡 URL
當您建立 Web 應用程式時,必須選擇負載平衡 URL 以指定給應用程式。此外,還必須為每個在 Web 應用程式內建立的區域建立負載平衡 URL。負載平衡 URL 包括通訊協定、結構描述、主機名稱和連接埠 (如果使用)。在所有 Web 應用程式和區域中,負載平衡 URL 必須是唯一的。因此,每個應用程式以及每個應用程式內的每個區域都需要這個模型中的唯一 URL。
內部網路
構成內部網路的三個應用程式每個都需要唯一的 URL。在此模型中,內部網路內容的目標對象是內部員工和遠端員工。下表列出內部和遠端員工存取每個應用程式的 URL。
應用程式 | 內部員工 URL | 遠端員工 URL |
---|---|---|
已發佈的內部網路內容 |
http://fabrikam |
https://intranet.fabrikam.com |
小組網站 |
http://teams |
https://teams.fabrikam.com |
我的網站 |
http://my |
https://my.fabrikam.com |
合作夥伴網站
在此模型中,內部員工、遠端員工和合作夥伴員工都會存取合作夥伴網站。雖然遠端員工和合作夥伴員工都可以使用 SSL (https) 從外部存取合作夥伴網站,但是每個人都需要不同的 URL 才能擁有使用不同網站的優點;即不同驗證方法和不同的區域原則。下表列出內部員工、遠端員工和合作夥伴用以存取合作夥伴網站的 URL。
區域 | URL |
---|---|
內部員工 URL |
http://partnerweb |
遠端員工 URL |
https://remotepartnerweb.fabrikam.com |
合作夥伴 URL |
https://partnerweb.fabrikam.com |
公司網際網路網站
公司網際網路網站是公用網站,而且任何使用者只要使用預設 URL (http://www.fabrikam.com) 就可以存取。其會套用網際網路網站的原則 (即匿名存取和拒絕寫入)。
不過,為了支援公用網站上的管理和製作工作,個模型使用供內部和遠端員工使用的 URL。這些區域的原則限制目標安全性群組具有高於讀取存取權的權限。下表列出每個區域的 URL。
區域 | URL |
---|---|
內部員工 URL |
http://fabrikamsite |
遠端員工 URL |
https://fabrikamsite.fabrikam.com |
客戶 URL |
http://www.fabrikam.com |
使用 URL 的明確路徑和包含相對路徑
您可以藉由定義管理的路徑來指定 Web 應用程式之 URL 命名空間中的哪些路徑會用於網站集合。您可以指定在根網站的特定路徑下有一個或多個網站集合。若沒有管理路徑,所有在根網站集合下建立的網站都會是根網站集合的一部分。
您可以建立下列兩種類型的管理路徑:
包含絕對路徑 指定具有明確 URL 的網站集合。一個包含絕對路徑只能套用一個網站集合。您可以在根網站集合下建立多個包含絕對路徑。使用這種方法建立的網站集合 URL 範例是 http://fabrikam/hr。
包含相對路徑 新增至 URL 的路徑。這個路徑指出緊跟在路徑名稱後面指定的所有網站都是唯一網站集合。這個選項一般用於支援本身網站建立的應用程式 (如「我的網站」)。使用這種方法建立的網站集合 URL 範例是 http://my/personal/user1。
此模型包含使用下列章節所述之兩種類型。
包含絕對路徑:小組網站和已發佈的內部網路內容
在此模型中,小組網站應用程式和已發佈的內部網路內容應用程式使用「包含絕對路徑」。
小組網站
在小組網站應用程式內,每個小組網站集合皆使用「包含絕對路徑」。使用「包含絕對路徑」建立之網站集合的縮放限制大約是 100 個網站。良好的控管作法是將頂層小組網站的數目保持在可管理的數目內。而且,針對公司的運作方式,小組網站的分類法應該具邏輯性。100 個網站的建議值適用於許多組織。如果組織需要較大的範圍以放入小組網站,則請使用包含相對路徑取代。
在此模型中,使用包含絕對路徑會產生下表的 URL。
內部員工 (內部網路區域) | 遠端員工 (預設區域) |
---|---|
http://team/Team1 |
https://team.fabrikam.com/Team1 |
http://team/Team2 |
https://team.fabrikam.com/Team2 |
http://team/Team3 |
https://team.fabrikam.com/Team3 |
在此範例中,根網站集合 http://team 不一定具備使用者的內容。
已發佈的內部網路內容
在已發佈的內部網路內容應用程式內,每個子網站 (HR、Facilities 和 Purchasing) 都使用「包含絕對路徑」。如此可單獨管理上述每個網站。必要時,上述每個網站集合也可以與不同內容資料庫建立關聯以管理成長,也可以讓您分別備份和還原這些網站。
在此模型中,使用包含絕對路徑會產生下表的 URL。
內部員工 (內部網路區域) | 遠端員工 (預設區域) |
---|---|
http://fabrikam |
https://intranet.fabrikam.com |
http://fabrikam/hr |
https://intranet.fabrikam.com/hr |
http://fabrikam/facilities |
https://intranet.fabrikam.com/facilities |
http://fabrikam/purchasing |
https://intranet.fabrikam.com/purchasing |
在此範例中,根網站集合 http://fabrikam 代表內部網路的預設首頁。此網站預定會架設使用者的內容。
包含相對路徑:合作夥伴網站和我的網站
合作夥伴網站和「我的網站」使用包含相對路徑。「包含相對路徑」適用於允許使用者建立他們自己的網站集合的應用程式。「包含相對路徑」表示萬用字元後面的下一個項目是網站集合的根網站。
我的網站
「我的網站」提供自助網站架設。瀏覽內部網站的使用者先按一下 [我的網站] 時,會自動為使用者建立「我的網站」。在此模型中,「我的網站」包含相對路徑 /personal (http://my/personal)。「我的網站」功能會自動在 URL 的後面加上使用者名稱。
如此會產生下表所列格式的 URL。
內部 (內部網路區域) | 遠端員工 (預設區域) |
---|---|
http://my/sites/user1 |
https://my.fabrikam.com/personal/user1 |
http://my/sites/user2 |
https://my.fabrikam.com/personal/user2 |
http://my/sites/user3 |
https://my.fabrikam.com/personal/user3 |
合作夥伴網站
合作夥伴網站的設計旨在允許員工輕鬆地建立安全網站,以與外部合作夥伴進行共同作業。為達此目標,允許建立自助網站。
在此模型中,合作夥伴網站包含相對路徑 /sites (http://partnerweb/sites)。此會產生下表所列格式的 URL。
內部員工 (內部網路區域) | 遠端員工 (預設區域) |
---|---|
http://partnerweb/sites/project1 |
https://remotepartnerweb.fabrikam.com/sites/project1 |
http://partnerweb/sites/project2 |
https://remotepartnerweb.fabrikam.com/sites/project2 |
http://partnerweb/sites/project3 |
https://remotepartnerweb.fabrikam.com/sites/project3 |
合作夥伴參與者可以使用下表列出的 URL 存取合作夥伴網站。
合作夥伴 (外部網路區域) |
---|
https://partnerweb.fabrikam.com/sites/project1 |
https://partnerweb.fabrikam.com/sites/project2 |
https://partnerweb/fabrikam.com/sites/project3 |
合作夥伴網站的例外 (如此模型所表示) 是專用於製作和執行公司網際網路網站內容的兩個網站集合。針對這兩個網站集合,會使用包含絕對路徑。如此可提供在相同 Web 應用程式中使用「包含絕對路徑」和「包含相對路徑」的範例。
管理 URL
下表列出每個架設於伺服器陣列上之應用程式的管理區域 URL。
應用程式 | URL |
---|---|
已發佈的內部網路內容 |
http://fabrikam.admin |
小組網站 |
http://teams.admin |
我的網站 |
http://my.admin |
合作夥伴網站 |
http://partnerweb.admin |
公司網際網路網站 |
http://fabrikamsite.admin |
此模型假設管理員擁有企業網路的內部存取權。
區域原則
您可以建立 Web 應用程式的原則,在 Web 應用程式層級強制權限。一般而言可以定義 Web 應用程式的原則,或只針對特定區域定義原則。「原則」可強制 Web 應用程式或區域內之所有內容的權限。「原則」權限會覆寫針對網站和內容設定的其他所有安全性設定。您可以根據使用者或使用者群組來設定原則,但不能根據 SharePoint 群組設定原則。
此模型提供多個達成下列目標之原則的範例:
允許管理員存取所有內容。
拒絕已發佈內容的寫入權限。
確定作者和測試人員擁有已發佈內容的適當存取權。
下載本書
本主題隨附於下列可下載的叢書中,以便於閱讀與列印:
請參閱 Office SharePoint Server 2007 可下載的內容 (英文) 上提供的完整叢書清單。